移动应用安全开发要求(3,访问控制)

最新推荐文章于 2024-04-23 18:52:22 发布
最新推荐文章于 2024-04-23 18:52:22 发布
阅读量333 收藏 3
点赞数
分类专栏: android C/C++ 文章标签: java android ios 小程序
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/s_include/article/details/115391590
版权

通常,移动应用的生命周期包括可行性分析与项目开发计划、需求分析、设计、编码、测试、维护等活动,这种按时间分配不同任务的思想方法是软件工程中的一种重要思想原则,即按部就班、逐步推进,每个阶段都要有各自的定义、工作、审查、形成文档以便工作交流或备查,进而达到提高软件质量的目的。

目前,按照应用开发生命周期的思想进行软件设计和开发的理念已经得到广大软件设计和开发人员的广泛认同,但是在应用开发生命周期中对安全性的考虑则往往被忽略,进而产生了很多的软件产品漏洞,给使用应用的人们带来很多工作生活上的不便,甚至造成巨大的经济损失。

图片

在本文中,我们探讨Android应用程序开发过程中对于移动应用访问都有哪些安全开发要求。

 

访问控制

    禁止请求非必要的权限,限制越权访问。

图片

 

    权限管理

  • 创建基于角色的授权;

  • 代码执行权限最小化;

  • 可信系统对资源授权与验证;

  • 对文件、受保护的URL、受保护的程序功能、受保护的程序数据、受保护的用户/数据属性/策略信息、受保护的访问控制策略、服务端数据创建行为进行访问授权控制;

  • 保护存储在客户端的访问状态数据;

  • 限制单位时间内事务请求数量;

  • 注销长时间不活动账号;

     

    身份鉴别

  • 支持用户标识和用户鉴别,确保标识的唯一性;

  • 用户每次登录与重新连接系统时,采用受安全管理中心控制的口令、基于生物特征的数据、数字证书以及其他相应安全强度的两种或两种以上的组合机制进行用户身份鉴别,且其中一种鉴别技术产生的鉴别数据是不可伪造的,重要操作可用进一步的口令确认;

  • 对鉴别数据进行保密性和完整性保护;

  • 若检测到终端越权操作等非法动作,则根据策略做不同级别的响应:审计、提示、告警;

     

    权限最小化

  • 账号登录限制保护。限制同一个账号同时在多个设备上成功登录移动终端;

  • 只开放必要的软件权限,防止扣费风险、隐私泄露风险等;

  • 系统在分配权限时应满足最小授权原则,只需授予不同管理员用户(系统管理员、系统安全员、安全审计员等)完成各自任务所需的最小权限;

  • 系统不应只通过界面限定用户的权限,防止攻击者绕过界面的限制直接提交请求;

  • 对系统输出数据检查,禁止较低权限用户或用户组越权访问,限制同权限用户或用户组越权访问;

manxiSafe
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
移动应用APP安全开发要求安全检测标准-android
03-19
本文根据owasp出具的2016移动应用top10的checklist翻译而来,适用于所有android应用
应用系统安全开发规范
02-13
为规范公司线上系统、后台系统等业务系统的安全开发,使开发人员明确在开发过程中需要遵守的安全要求,保证最终开发完成的系统不存在明显的安全漏洞,尽可能地降低系统上线后由于代码层漏洞导致的安全风险,特制定本规范。
应用系统安全开发技术规范V1.3.pdf
05-31
许多程序员不知道如何开发安全应用程序, 开发出来的Web应用存在较多 的安全漏洞,这些安全漏洞一旦被黑客利用将导致严重甚至是灾难性的后果。这 并非危言耸听,类似的网上事故举不胜举,公司的Web产品也曾多次遭黑客攻击, 甚至有黑客利用公司Web产品的漏洞敲诈运营商,造成极其恶劣的影响。 本规范为解决Web应用系统安全问题, 对主要的应用安全问题进行分析,并 有针对性的从设计及开发规范、开发管理、安全组件框架、安全测试方面提供整 体的安全解决方案。
web应用安全开发规范
07-09
本规范就是提供一套完善的、系统化的、实用的Web安全开发方法供Web研发人员使用,以期达到提高Web安全的目的。本规范主要包括三大内容:Web设计安全、Web编程安全、Web配置安全,配套CBB,多管齐下,实现Web应用的整体安全性;本规范主要以JSP/Java编程语言为例。
HybridApp移动应用开发初探
01-27
NativeApp(原生App)是用原生语言(Object-C/Java/C#/....)开发,用户需要下载安装的手机应用。优点是可以完全利用系统的API和平台特性,在性能上也是最好的。缺点是由于开发技术不同,如果你要覆盖多个平台,则要针对每个平台独立开发,无跨平台特性。WebApp主要是采用统一的标准的HTML、JavaScript与CSS等Web技术开发。优点是用户无需下载,通过不同平台的浏览器访问即可实现跨平台,同时可以通过浏览器支持充分使用 HTML5特性。缺点是这些基于浏览器的应用无法调用系统API
移动应用数据安全管理要求(三)
securitypaper的博客
07-05 649
数据所面临的安全风险是动态变化的,企业需要通过实施数据安全审计掌握安全措施有效性,进而补足薄弱点,优化安全防御策略,真正实现数据安全
移动应用安全开发要求(1,源码安全
s_include的专栏
04-01 453
移动应用安全开发要求(源码安全) 近十年,移动互联网的飞速发展,智能移动终端在人们学习、工作和生活中的普及率越来越高,手机终端的广大用户群体的良好体验正吸引着越来越多的开发应用者参与到手机应用程序的开发和使用中来,但是部分免费开源的平台特性不仅给予了开发者更广阔的开发空间,也给使用者增加了许多安全隐患,即使有基于自主平台上开发移动应用,也会遭到黑客攻击,存在一定的安全隐患。 相关数据显示,89%的热门应用存在仿冒,18个行业的Top10应用中98%的应用都存在漏洞。这些漏洞一旦被利用,将会...
移动应用安全开发规范-安卓基础篇
简言
05-06 3861
周末参加了线下安卓巴士论坛组织的“安卓开发者的修炼之道”,几位嘉宾分享的内容都很赞。没时间整理文字版,直接分享嘉宾的PPT了。第一位嘉宾林魏,深圳爱加密科技公司攻防实验室负责人,分享的主题是《移动应用安全开发规范-安卓基础篇》。...
移动应用安全开发要求(2,密码安全
s_include的专栏
04-02 342
通常,移动应用的生命周期包括可行性分析与项目开发计划、需求分析、设计、编码、测试、维护等活动,这种按时间分配不同任务的思想方法是软件工程中的一种重要思想原则,即按部就班、逐步推进,每个阶段都要有各自的定义、工作、审查、形成文档以便工作交流或备查,进而达到提高软件质量的目的。 目前,按照应用开发生命周期的思想进行软件设计和开发的理念已经得到广大软件设计和开发人员的广泛认同,但是在应用开发生命周期中对安全性的考虑则往往被忽略,进而产生了很多的软件产品漏洞,给使用应用的人们带来很多工作生活上的不便,甚至造成巨大
安全开发规范手册.docx
08-05
1. 背景 4 2. 编码安全 4 2.1. 输入验证 4 2.1.1. 概述 5 2.1.2. 白名单 5 2.1.3. 黑名单 5 2.1.4. 规范化 5 2.1.5. 净化 5 2.1.6. 合法性校验 6 2.1.7. 防范SQL注入 6 2.1.8. 文件校验 6 2.1.9. 访问控制 6 2.2. 输出验证 6 2.2.1. 概述 6 2.2.2. 编码场景 6 2.2.3. 净化场景 7 2.3. SQL注入 7 2.3.1. 概述 7 2.3.2. 参数化处理 7 2.3.3. 最小化授权 7 2.3.4. 敏感数据加密 7 2.3.5. 禁止错误回显 8 2.4. XSS跨站 8 2.4.1. 输入校验 8 2.4.2. 输出编码 8 2.5. XML注入 8 2.5.1. 输入校验 8 2.5.2. 输出编码 8 2.6. CSRF跨站请求伪造 8 2.6.1. Token使用 9 2.6.2. 二次验证 9 2.6.3. Referer验证 9 3. 逻辑安全 9 3.1. 身份验证 9 3.1.1. 概述 9 3.1.2. 提交凭证 9 3.1.3. 错误提示 9 3.1.4. 异常处理 10 3.1.5. 二次验证 10 3.1.6. 多因子验证 10 3.2. 短信验证 10 3.2.1. 验证码生成 10 3.2.2. 验证码限制 10 3.2.3. 安全提示 11 3.2.4. 凭证校验 11 3.3. 图灵测试 11 3.3.1. 验证码生成 11 3.3.2. 验证码使用 11 3.3.3. 验证码校验 11 3.4. 密码管理 12 3.4.1. 密码设置 12 3.4.2. 密码存储 12 3.4.3. 密码修改 12 3.4.4. 密码找回 12 3.4.5. 密码使用 12 3.5. 会话安全 13 3.5.1. 防止会话劫持 13 3.5.2. 会话标识符安全 13 3.5.3. Cookie安全设置 13 3.5.4. 防止CSRF攻击 13 3.5.5. 会话有效期 14 3.5.6. 会话注销 14 3.6. 访问控制 14 3.6.1. 跨权访问 14 3.6.2. 控制方法 14 3.6.3. 控制管理 14 3.6.4. 接口管理 15 3.6.5. 权限变更 15 3.7. 文件上传安全 15 3.7.1. 身份校验 15 3.7.2. 合法性校验 15 3.7.3. 存储环境设置 15 3.7.4. 隐藏文件路径 16 3.7.5. 文件访问设置 16 3.8. 接口安全 16 3.8.1. 网络限制 16 3.8.2. 身份认证 16 3.8.3. 完整性校验 16 3.8.4. 合法性校验 16 3.8.5. 可用性要求 17 3.8.6. 异常处理 17 4. 数据安全 17 4.1. 敏感信息 17 4.1.1. 敏感信息传输 17 4.1.2. 客户端保存 17 4.1.3. 服务端保存 17 4.1.4. 敏感信息维护 18 4.1.5. 敏感信息展示 18 4.2. 日志规范 18 4.2.1. 记录原则 18 4.2.2. 事件类型 18 4.2.3. 事件要求 18 4.2.4. 日志保护 19 4.3. 异常处理 19 4.3.1. 容错机制 19 4.3.2. 自定义错误信息 19 4.3.3. 隐藏用户信息 19 4.3.4. 隐藏系统信息 19 4.3.5. 异常状态恢复 20 4.3.6. 通信安全 20
Android移动平台开发-数据存储应用.doc
11-14
Android移动平台开发-实验报告
移动平台开发技术——第2讲 应用的资源访问
01-03
第2讲 应用的资源访问 笔记 Android 项目目录结构 (1)res目录 ① drawable-*dpi(比如ldpi,hdpi,mdpi,xdpi)(dpi,dots per inch;或PPI,pixels per inch) 定义Android应用中需要的不同分辨率的资源文件 ② ...
Web2.0桌面与移动应用程序安全性设计
01-30
当前大多数网络攻击都指向网络应用程序。这些攻击集中攻击那些...访问控制、防火墙、入侵检测系统,以及入侵防御系统组成了一个完整的应用程序安全防线,向应用程序提供了全方位的保护。但是,这些机制并不能百分之百
mybatisPlus使用MetaObjectHandler对字段进行更新
最新发布
m0_56356631的博客
04-23 252
都是符合我们的预期的。
string模拟实现
m0_73969414的博客
04-23 1370
c++中string的模拟实现,面试必会知识点
实现自定义注解、实现自定义幂等性注解
qq_44721738的博客
04-23 509
添加 Spring AOP 依赖。创建自定义注解。创建一个新的 Java 注解类,通过@interface关键字来定义,并可以添加元注解以及属性。@Target(ElementType.METHOD) //表示作用于方法上@Retention(RetentionPolicy.RUNTIME) // 表示这个注解在运行时是可见的,这样 AOP 代理才能在运行时读取到这个注解编写 AOP 拦截(自定义注解)的逻辑代码。@Aspect@Component// 方法执行前的处理。
javaweb-SpringBoot基础
kussm_的博客
04-20 1274
Spring的官网(Spring的简介:Spring makes Java simple。Spring Boot 可以帮助我们非常快速的构建应用程序、简化开发、提高效率。创建一个子包controller。
第5 章 Consul服务注册与发现
a13763926743的博客
04-22 742
consul官网地址。
移动应用程序开发中关于权限的知识
03-28
移动应用程序开发中,权限是指用户授权应用程序访问设备资源和数据的能力。以下是关于权限的知识: 1. 类型:应用程序需要不同类型的权限来访问不同的设备资源和数据,例如相机、存储空间、位置信息等。 2. 请求...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值